иньекция кавычка

1. Удаленный (20.03.2010 / 04:11)
Вообщем в базу через юзер агент чел один делает мне иньекцию,пишет как то ссылку так http://site.ru/chat/reg.php‘, level=‘7 и после реги он админ sad

2. Удаленный (20.03.2010 / 04:13)
он тебе делает иньекцию через браузер,если по сессии ходит. щас фильтр напишу погоди

3. Удаленный (20.03.2010 / 04:16)

<?php
$us["HTTP_USER_AGENT"] = str_replace("‘","",$us["HTTP_USER_AGENT"]);
?>

вставишь в системный файл скрипта,если не поможет пиши,убьём твоего кулц хакера

4. Удаленный (20.03.2010 / 04:21)
ооо спасибо я думал без выходная ситуация),а это точно прокатит?

5. Удаленный (20.03.2010 / 04:25)
без выходной ситуации нет в php,да поможет если я так понял как идёт иньекция,ну если что пример в студию,и логи если записываются

6. Удаленный (20.03.2010 / 04:28)
Спасибо smile

7. Neformat (20.03.2010 / 09:38)
не обязательно через юзерагент

8. Вантуз-мен (20.03.2010 / 20:33)
вообще конечно лучше этот символ полностью фильтровать для все переменных заменять на ' например

9. smartvbxos7 (21.03.2010 / 01:33)
Хороший символ гГ(юзаю)

10. Удаленный (22.03.2010 / 11:15)
Спасибо Юзеру,иньекции больше нет smile

11. blud (22.03.2010 / 12:51)
а что mysql_real_escape_string() не помогает?

12. Удаленный (22.03.2010 / 15:28)
11,а как использовать mysql_real_escape_string() ?

13. Удаленный (22.03.2010 / 15:34)
12.Используется после соединения БД
пример:

<?php
$q = sprintf("SELECT * FROM users WHERE us='%s' AND pass='%s'",
mysql_real_escape_string($us),
mysql_real_escape_string($pass));
?>

Небольшой пример использования после коннекта
если разбираешься то думаю поймёшь как работать с функцией)

14. Удаленный (22.03.2010 / 15:45)
Вась спасибо ещё раз) буду смотреть smile

15. Azzido (23.03.2010 / 06:26)
удалено

16. chiper (23.03.2010 / 15:57)
а если кавычку превратить в хтмл сущьность... вроде тоже можно избежать такого гемороя

17. Удаленный (23.03.2010 / 16:02)
16.при чём тут html?

18. Studentsov (24.03.2010 / 15:35)
$var = htmlentities($var, ENT_QUOTES, 'UTF-8');
И не надо никаких str_replace

19. Удаленный (25.03.2010 / 16:46)
да мне по фигу что там надо не надо,самое главное что нет иньекции! большая благодарность этому разделу "Безопасность и защита сайтов" и 3 посту smile

URL: https://visavi.net/topics/7165